एक दुर्भावनापूर्ण ईमेल अभियान अमेरिका स्थित संगठनों में सैकड़ों Microsoft Office उपयोगकर्ताओं को लक्षित कर रहा है रिमोट एक्सेस ट्रोजन (आरएटी) जो आंशिक रूप से वैध सॉफ़्टवेयर के रूप में प्रदर्शित होकर पहचान से बचता है।
परसेप्शन पॉइंट के शोधकर्ताओं द्वारा "फैंटमब्लू" नामक अभियान में, हमलावर ईमेल संदेशों में एक लेखा सेवा का प्रतिरूपण करते हैं जो लोगों को माइक्रोसॉफ्ट ऑफिस वर्ड फ़ाइल डाउनलोड करने के लिए आमंत्रित करते हैं, कथित तौर पर उनकी "मासिक वेतन रिपोर्ट" देखने के लिए। लक्ष्य को पासवर्ड-संरक्षित "रिपोर्ट" फ़ाइल तक पहुंचने के लिए विस्तृत निर्देश प्राप्त होते हैं, जो अंततः कुख्यात को वितरित करता है नेटसपोर्ट आरएटी, मैलवेयर वैध से दूर चला गया नेटसुपोर्ट प्रबंधक, एक वैध रूप से उपयोगी दूरस्थ तकनीकी सहायता उपकरण। ख़तरनाक अभिनेताओं ने पहले रैंसमवेयर पहुंचाने से पहले सिस्टम को फ़ुटप्रिंट करने के लिए RAT का उपयोग किया है।
परसेप्शन पॉइंट वेब सुरक्षा विशेषज्ञ एरियल डेविडपुर ने कहा, "गुप्त निगरानी और नियंत्रण के लिए इंजीनियर किया गया, यह दूरस्थ प्रशासन को साइबर हमलों और डेटा चोरी के लिए एक मंच में बदल देता है।" प्रकट इस सप्ताह प्रकाशित एक ब्लॉग पोस्ट में।
एक बार पीड़ित के एंडपॉइंट पर स्थापित होने के बाद, नेटसपोर्ट व्यवहार की निगरानी कर सकता है, कीस्ट्रोक्स को कैप्चर कर सकता है, फ़ाइलों को स्थानांतरित कर सकता है, सिस्टम संसाधनों को अपने कब्जे में ले सकता है और नेटवर्क के भीतर अन्य उपकरणों पर जा सकता है, "यह सब एक सौम्य रिमोट सपोर्ट सॉफ़्टवेयर की आड़ में," उन्होंने लिखा।
NetSupport RAT की इवेसिव OLE डिलिवरी विधि
अभियान ऑब्जेक्ट लिंकिंग और एंबेडिंग (ओएलई) टेम्पलेट्स के हेरफेर के माध्यम से नेटसपोर्ट आरएटी के लिए एक उपन्यास वितरण पद्धति का प्रतिनिधित्व करता है। डेविडपुर ने लिखा, यह एक "सूक्ष्म शोषण विधि" है जो पहचान से बचते हुए दुर्भावनापूर्ण कोड को निष्पादित करने के लिए वैध माइक्रोसॉफ्ट ऑफिस दस्तावेज़ टेम्पलेट्स का उपयोग करती है।
यदि कोई उपयोगकर्ता अभियान के संदेशों से जुड़ी .docx फ़ाइल को डाउनलोड करता है और उस तक पहुंचने के लिए संलग्न पासवर्ड का उपयोग करता है, तो दस्तावेज़ की सामग्री लक्ष्य को "संपादन सक्षम करें" पर क्लिक करने और फिर दस्तावेज़ में एम्बेडेड प्रिंटर की छवि पर क्लिक करने का निर्देश देती है। उनके "वेतन ग्राफ" को देखने का आदेश।
प्रिंटर छवि वास्तव में एक OLE पैकेज है, जो Microsoft Windows में एक वैध सुविधा है जो दस्तावेज़ों और अन्य वस्तुओं को एम्बेड और लिंक करने की अनुमति देती है। डेविडपुर ने लिखा, "इसका वैध उपयोग उपयोगकर्ताओं को विभिन्न कार्यक्रमों के तत्वों के साथ मिश्रित दस्तावेज़ बनाने में सक्षम बनाता है।"
ओएलई टेम्प्लेट हेरफेर के माध्यम से, खतरे वाले कलाकार दस्तावेज़ के बाहर पेलोड को छिपाकर बिना पता लगाए दुर्भावनापूर्ण कोड को निष्पादित करने के लिए दस्तावेज़ टेम्प्लेट का शोषण करते हैं। परसेप्टिव पॉइंट के अनुसार, यह अभियान पहली बार है कि नेटसपोर्ट आरएटी की डिलीवरी के लिए ईमेल में इस प्रक्रिया का उपयोग किया गया था।
डेविडपुर ने बताया, "यह उन्नत तकनीक दस्तावेज़ के बाहर दुर्भावनापूर्ण पेलोड को छिपाकर पारंपरिक सुरक्षा प्रणालियों को दरकिनार कर देती है, केवल उपयोगकर्ता के इंटरेक्शन पर ही क्रियान्वित होती है।"
दरअसल, OLE टेम्प्लेट और टेम्प्लेट इंजेक्शन (CWE T1221) के माध्यम से NetSupport RAT वितरित करने के लिए एन्क्रिप्टेड .doc फ़ाइलों का उपयोग करके, फैंटमब्लू अभियान आमतौर पर NetSupport से जुड़ी पारंपरिक रणनीति, तकनीकों और प्रक्रियाओं (TTPs) से हट जाता है। आरएटी तैनाती.
डेविडपुर ने लिखा, "ऐतिहासिक रूप से, ऐसे अभियान सीधे निष्पादन योग्य फ़ाइलों और सरल फ़िशिंग तकनीकों पर अधिक निर्भर रहे हैं।" उन्होंने लिखा, ओएलई विधि "सोशल इंजीनियरिंग के साथ परिष्कृत चोरी की रणनीति" को मिश्रित करने के लिए अभियान के नवाचार को प्रदर्शित करती है।
वैधता के पीछे छुपना
अभियान की अपनी जांच में, परसेप्शन प्वाइंट शोधकर्ताओं ने डिलीवरी विधि को चरण दर चरण विच्छेदित किया, और पाया कि, आरएटी की तरह, पेलोड वैधता के पीछे छिप जाता है रडार के नीचे उड़ान भरने के प्रयास में।
विशेष रूप से, परसेप्टिव पॉइंट ने फ़िशिंग ईमेल के रिटर्न पथ और संदेश आईडी का विश्लेषण किया, जिसमें हमलावरों द्वारा "SendInBlue”या ब्रेवो सेवा। ब्रेवो एक वैध ईमेल डिलीवरी प्लेटफ़ॉर्म है जो मार्केटिंग अभियानों के लिए सेवाएँ प्रदान करता है।
डेविडपुर ने लिखा, "यह विकल्प अपने दुर्भावनापूर्ण इरादे को छुपाने के लिए प्रतिष्ठित सेवाओं का लाभ उठाने के लिए हमलावरों की प्राथमिकता को रेखांकित करता है।"
समझौता करने से बचना
चूंकि फैंटमब्लू मैलवेयर वितरित करने के लिए ईमेल को अपनी विधि के रूप में उपयोग करता है, इसलिए समझौता से बचने के लिए सामान्य तकनीकें - जैसे निर्देश देना और प्रशिक्षण कर्मचारी संभावित रूप से दुर्भावनापूर्ण ईमेल को पहचानने और रिपोर्ट करने के तरीके के बारे में - लागू करें।
विशेषज्ञों का कहना है कि एक सामान्य नियम के रूप में, लोगों को कभी भी ईमेल अनुलग्नकों पर क्लिक नहीं करना चाहिए जब तक कि वे किसी विश्वसनीय स्रोत या किसी ऐसे व्यक्ति से न आए हों जिससे उपयोगकर्ता नियमित रूप से पत्र-व्यवहार करते हों। इसके अलावा, कॉर्पोरेट उपयोगकर्ताओं को विशेष रूप से आईटी प्रशासकों को संदिग्ध संदेशों की रिपोर्ट करनी चाहिए, क्योंकि वे दुर्भावनापूर्ण अभियान के संकेत दे सकते हैं।
फ़ैंटमब्लू की पहचान करने में व्यवस्थापकों की और सहायता करने के लिए, परसेप्टिव पॉइंट ने ब्लॉग पोस्ट में अभियान से जुड़े टीटीपी, समझौता संकेतक (आईओसी), यूआरएल और होस्टनाम और आईपी पते की एक व्यापक सूची शामिल की।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/threat-intelligence/phantomblu-cyberattackers-backdoor-microsoft-office-users-ole
- :है
- $यूपी
- 7
- a
- About
- पहुँच
- तक पहुँचने
- अनुसार
- लेखांकन
- अभिनेताओं
- वास्तव में
- पतों
- प्रशासन
- प्रशासकों
- उन्नत
- सब
- की अनुमति देता है
- an
- विश्लेषण किया
- और
- लागू करें
- AS
- सहायता
- जुड़े
- At
- आक्रमण
- से बचने
- से बचने
- पिछले दरवाजे
- से पहले
- व्यवहार
- पीछे
- मिश्रण
- ब्लॉग
- by
- अभियान
- अभियान
- कर सकते हैं
- कब्जा
- चुनाव
- क्लिक करें
- कोड
- कैसे
- सामान्यतः
- यौगिक
- व्यापक
- समझौता
- सामग्री
- नियंत्रण
- परम्परागत
- कॉर्पोरेट
- बनाना
- साइबर
- साइबर हमले
- तिथि
- उद्धार
- पहुंचाने
- बचाता है
- प्रसव
- दर्शाता
- विस्तृत
- खोज
- डिवाइस
- विभिन्न
- सीधे
- खोज
- दस्तावेज़
- दस्तावेजों
- डाउनलोड
- डाउनलोड
- करार दिया
- प्रयास
- तत्व
- ईमेल
- ईमेल
- एम्बेडेड
- embedding
- सक्षम
- सक्षम बनाता है
- एन्क्रिप्टेड
- endpoint
- इंजीनियर
- अभियांत्रिकी
- विशेष रूप से
- अपवंचन
- निष्पादित
- को क्रियान्वित
- विशेषज्ञ
- विशेषज्ञों
- समझाया
- शोषण करना
- शोषण
- Feature
- पट्टिका
- फ़ाइलें
- प्रथम
- पहली बार
- पदचिह्न
- के लिए
- से
- आगे
- सामान्य जानकारी
- ग्राफ
- रास्ता
- है
- he
- छुपा
- ऐतिहासिक दृष्टि से
- कैसे
- How To
- HTTPS
- सैकड़ों
- ID
- पहचान
- की छवि
- अभिनय करना
- in
- शामिल
- संकेत मिलता है
- संकेतक
- नवोन्मेष
- installed
- निर्देश
- इरादा
- बातचीत
- में
- जांच
- आमंत्रित करना
- IP
- आईपी पतों
- IT
- आईटी इस
- खुद
- जेपीजी
- वैधता
- वैध
- लाभ
- पसंद
- जोड़ने
- सूची
- दुर्भावनापूर्ण
- मैलवेयर
- जोड़ - तोड़
- विपणन (मार्केटिंग)
- मुखौटा
- मई..
- message
- संदेश
- तरीका
- माइक्रोसॉफ्ट
- माइक्रोसॉफ्ट विंडोज
- मॉनिटर
- मासिक
- अधिक
- और भी
- चाल
- नेटवर्क
- कभी नहीँ
- कुख्यात
- उपन्यास
- सूक्ष्म
- वस्तु
- वस्तुओं
- of
- बंद
- ऑफर
- Office
- on
- केवल
- or
- आदेश
- संगठनों
- अन्य
- बाहर
- के ऊपर
- पैकेज
- पासवर्ड
- पथ
- स्टाफ़
- धारणा
- फ़िशिंग
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- बिन्दु
- पद
- संभावित
- पहले से
- प्रक्रिया
- प्रक्रिया
- प्रोग्राम्स
- प्रकाशित
- राडार
- Ransomware
- आरएटी
- प्राप्त करना
- नियमित तौर पर
- दूरस्थ
- रिपोर्ट
- का प्रतिनिधित्व करता है
- सम्मानित
- शोधकर्ताओं
- उपयुक्त संसाधन चुनें
- वापसी
- नियम
- s
- वेतन
- कहना
- सुरक्षा
- सेवा
- सेवाएँ
- चाहिए
- दिखा
- लक्षण
- सरल
- सोशल मीडिया
- सोशल इंजीनियरिंग
- सॉफ्टवेयर
- कोई
- परिष्कृत
- स्रोत
- Spot
- काता
- गुढ़
- कदम
- ऐसा
- समर्थन
- निगरानी
- संदेहजनक
- प्रणाली
- सिस्टम
- युक्ति
- लेना
- को लक्षित
- लक्ष्य
- तकनीकी
- तकनीक
- तकनीक
- टेम्पलेट
- टेम्पलेट्स
- कि
- RSI
- चोरी
- लेकिन हाल ही
- उन
- फिर
- वे
- इसका
- इस सप्ताह
- धमकी
- खतरों के खिलाड़ी
- पहर
- सेवा मेरे
- साधन
- परंपरागत
- स्थानांतरण
- रूपांतरण
- ट्रोजन
- विश्वस्त
- अंत में
- के अंतर्गत
- रेखांकित
- जब तक
- के ऊपर
- उपयोग
- प्रयुक्त
- उपयोगी
- उपयोगकर्ता
- उपयोगकर्ताओं
- का उपयोग करता है
- का उपयोग
- सामान्य
- के माध्यम से
- शिकार
- देखें
- था
- वेब
- वेब सुरक्षा
- सप्ताह
- कौन कौन से
- जब
- खिड़कियां
- साथ में
- अंदर
- बिना
- शब्द
- लिखा था
- जेफिरनेट
